医療機器管理のためのセキュアな機能セット配布インフラストラクチャの提供
セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのシステムおよび方法を提示する。医療機器と、医療機器に一時的に接続可能な通信機器との間でのデータダウンロードに対して、一意の関連付けがマップされる。構成カタログが保持され、医療機器および通信機器のうちの少なくとも1つの動作特性を含む。構成カタログ内に保持された動作特性は、ダウンロード可能な複数の機能セットを格納するデータベースに対して、定期的にチェックされ、変更された動作特性を含む1つ以上の機能セットは、配布のために識別される。1つ以上の機能セットは、デジタル署名され、1つ以上の機能セットは、複数のネットワークを通じて通信機器に提供される。1つ以上の機能セットが認証され、それらの完全性は、信頼できるソースで始まり通信機器で終わる信頼チェーンを通じてチェックされる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概して医療機器管理に関し、具体的には、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのシステムおよび方法に関する。
【背景技術】
【0002】
ペースメーカおよび埋め込み型除細動器(Implantable Cardioverter−defibrillator:ICD)のような、心臓用埋め込み型医療機器(Implantable Medical Device:IMD)は、概して大胸筋を通じて皮下に埋め込まれる。心臓治療を行い、心肺の生理機能を監視する一連の導線も、頭部および鎖骨下静脈を使用して、局所麻酔下で経静脈的に埋め込まれる。IMDの電力は、普通は、高エネルギ密度、低内部損失で、長貯蔵寿命であるバッテリによって提供される。例えば、埋め込まれた単腔ペースメーカは、ヨウ化リチウムバッテリを使用し、期待埋め込み寿命は7年〜12年である。二腔ペースメーカは、リチウム銀酸化バナジウムバッテリを使用し、期待埋め込み寿命は5年〜10年である。
【0003】
通常、IMDは、バッテリ寿命が切れたときに全て交換され、元の埋め込み時期以降に生じ得る、新しい機能や進歩した技術を活用する。IMDの交換には手術が必要であり、その手術は、傷害、感染、回復時間、および関連する合併症といった付帯リスクを伴う。導線または問題を含むIMDに破損または故障が生じたときなどに、機器を交換しなければならないような状況を限定または排除することによって、外科的リスクを最小限に抑えることができる。
【0004】
交換する前に、プログラマ型の機器を使用してオンボードのプログラミングソフトウェアまたはファームウェアをアップグレードすることによって、IMDの動作特性およびプログラミングの暫定的なアップグレードを臨床で行うことができる。この種の更新は、臨床的設定に限定され、医師の存在が必要であり、軽微だが必要なアップグレードを大きな患者集団に行う必要のある場合に問題となり得る。修正は、それぞれのIMDの特定のモデルおよびソフトウェア、またはファームウェアのリビジョンレベルに正確に適合させなければならない。適切なアップグレード性の確保には、損傷を与えるか、または機器を動作不能にする可能性のある変更の導入を回避するために、特別な注意が必要である。
【0005】
利用可能なときに、臨床ソフトウェアまたはファームウェアのアップグレードは、医師の管理下でのみ行うことができる。プログラマ型の機器は、誘導テレメトリを介したIMDへの問い合わせに使用される。医師と患者との接近によって、承認が示唆され、IMDへのセキュアな排他的アクセスが仮定される。ソフトウェアまたはファームウェアのアップグレードは、その患者に埋め込まれた機器のみに限定される。埋め込み型または外付け型に関わらず、他の医療機器は、別々に問い合わせおよびアップグレードを行わなければならない。その結果、複数の医療機器管理には、患者単位での機能のアップグレードおよび実行中のメンテナンスのためにそれぞれの医療機器および関連する動作特性を個々に追跡する必要がある。この医療機器管理の負担は、患者集団が大きくなることで増加する。
【発明の開示】
【発明が解決しようとする課題】
【0006】
したがって、リモートで非外科的なアップグレードをIMDに提供する医療機器管理システムが必要である。このような手法は、患者単位および患者集団単位で、埋め込み型と外付け型の両方の医療機器に使用されるソフトウェアおよびファームウェアに対して、非臨床的かつセキュアで、認証されたアップグレードを提供することが好ましい。このような手法は、インターネットのような公共インフラストラクチャを活用して、最も経済的なソリューションを医療機器管理に提供し、一方で、暗号化技術を使用して、高レベルのセキュリティおよび信頼性を保持することが好ましい。
【課題を解決するための手段】
【0007】
システムおよび方法は、患者管理機器と、受動的および能動的埋め込み型および外付け型医療機器を含む、患者管理機器に関連する1つ以上の医療機器との間の一意のマッピングの構成カタログを保持する、セキュアな配布サーバを含む。それぞれの関連する患者医療機器に提供されるソフトウェアおよびファームウェアの識別は、患者管理機器によっていずれも定期的にリクエストされるか、またはそれぞれの機器によって患者管理機器に自律的に報告される。一実施形態では、患者管理機器は、定期的に、セキュアな配布サーバから、機器の、および患者管理機器自体のソフトウェアおよびファームウェアに対する更新をリクエストし、セキュアな配布サーバは、あらゆる新しいまたは修正された複数の機能セットを更新パッケージとして提供するが、これらは、信頼できるソースによってすでにデジタル署名されているか、または特定の患者管理機器のためのセキュアな配布サーバによってデジタル署名されている。さらなる一実施態様では、セキュアな配布サーバは、あらゆる新しいまたは修正された機能セットを、当該のセットが利用可能となったときに、患者管理機器に定期的に提供する。患者管理機器は、信頼できるソースを認証し、インストール前にそれぞれの更新パッケージの完全性をチェックする。信頼できるソースによるデジタル署名は、それぞれの患者管理機器での署名確認と組み合わせて、更新パッケージの信頼性および完全性を保証する。これらのプロセスは、信頼チェーンを提供して、新しいまたは修正された機能セットをセキュアに配布する。患者管理機器は、アップグレードまたはインストールが成功したときに、セキュアな配布サーバへ通知を返信する。さらなる実施形態では、患者管理機器ではなく、それぞれの機器は、インストールによって信頼チェーンをその機器自体に拡張する前に、それぞれの更新パッケージの署名確認を行う。それに応じて、ソフトウェアおよびファームウェアに対する小規模および大規模な変更は、臨床患者を訪問させることなく、1つ以上のネットワークを通じてリモート機器に配布することができる。
【0008】
一実施形態では、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのシステムおよび方法を提供する。医療機器と、医療機器に一時的に接続可能な通信機器との間でのデータダウンロードに対して、一意の関連付けがマップされる。構成カタログは保持され、医療機器および通信機器のうちの少なくとも1つの動作特性を含む。構成カタログ内に保持された動作特性は、ダウンロード可能な複数の機能セットを格納するデータベースに対して、定期的にチェックされ、変更された動作特性を含む1つ以上の機能セットは、配布のために識別される。1つ以上の機能セットは、デジタル署名され、1つ以上の機能セットは、複数のネットワークを通じて通信機器に提供される。1つ以上の機能セットが認証され、それらの完全性は、信頼できるソースで始まり通信機器で終わる信頼チェーンを通じてチェックされる。
【0009】
本発明のさらなる実施形態は、以下の詳細な説明から当業者に容易に明らかになり、本発明の実施形態は、本発明を実行を想定した最良の形態を例示することによって記載されている。当然のことながら、本発明は他の異なる実施形態とすることができ、その複数の詳細は、全てが本発明の趣旨および範囲から逸脱することなく、種々の明らかな点において修正することができる。したがって、図面および詳細な説明は、事実上例示的なものであり、制限的なものではないとみなされるべきである。
【発明を実施するための最良の形態】
【0010】
図1は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのシステム10を示す機能ブロック図である。システム10は、セキュアな配布サーバ11と、インターネットのような相互接続ネットワーク12を含む複数のネットワークを通じてリモートに相互接続された患者管理機器13と、相互接続ネットワーク15aおよび15bとを含む。一実施形態では、個々のネットワークは、ファイアウォール16aおよび16b、ゲートウェイ、または類似したセキュリティ機器によって、それぞれの境界でセキュアに保護される。それぞれのファイアウォール16aおよび16bは、関連するネットワークを無許可のアクセスおよび侵入から保護する。他のネットワークのトポロジ、構成、および機構も可能である。
【0011】
セキュアな配布サーバ11は、図4を参照して以下に詳述するように、ストレージ機器14に操作可能に接続され、複数のネットワークを通じて患者管理機器13によってリモートでアクセス可能であり、更新または新しい機能セットをセキュアに配布する。患者管理機器13は、主に通信機器として機能し、患者通信アプリケーションソフトウェアとして定義された一連のソフトウェアモジュールを実行する。加えて、患者管理機器13は、医療機器機能を含むこともできる。患者管理機器13は、ユーザインターフェース手段を含み、この手段は、スピーカ、マイクロホン、ディスプレイ、タッチスクリーンまたはキーパッドのような双方向ユーザインターフェース、「強固な」Bluetooth、ワイヤレスフェデリティ「WiFi」または「WiMax」、または他の無線周波数インターフェースを含み、外付け型および埋め込み型医療機器が論理的にインターフェースされることを可能にする。一実施形態では、患者管理機器13は、特に外付け型および埋め込み型医療機器にインターフェースされる、専用のハードウェア機器として実装される。さらなる一実施形態では、患者管理機器13は、一体的に実装するか、または携帯情報端末、携帯電話、および類似した機器のような、ポータブルコンピューティングデバイスに機能的に接続されたアドオンモジュールとして実装することが可能である。
【0012】
インターフェース可能な外付け型および埋め込み型医療機器は、埋め込み型医療機器18、埋め込み型センサ19、外付け型医療機器20、または外付け型センサ21のような能動型治療用または監視機器と、外付け型医療機器22および外付け型センサ23のような受動型治療用または監視機器とを含む。これらの治療用および監視機器は、治療を行うか、またはセキュアな配布サーバ11または類似した機器によって、定量的な生理学的評価指標に処理することができるセンサ読取り値を提供することができる。埋め込み型医療機器18は、ペースメーカ、埋め込み型除細動器、心臓の再同期機器、薬品供給機器、および神経学的インプラントを含む。埋め込み型センサ19は、心臓または呼吸モニタ、および姿勢、アクティビティ、または血液の化学的性質のモニタを含む。能動型の外付け型医療機器20は、自動外付け型細動除去器を含む。能動型の外付け型センサ21は、ホルターモニタを含む。受動型の外付け型医療機器22は、ピルディスペンサを含む。最後に、受動型の外付け型センサ23は、重量計および血圧モニタを含む。能動型および受動型の、他のタイプの埋め込み型医療機器、埋め込み型センサ、外付け型医療機器、および外付け型センサも可能である。
【0013】
作動的に、セキュアな配布サーバ11は、患者管理機器13および1つ以上の関連する医療機器18〜23の動作特性の構成カタログを保持する。機器の動作特性は、それぞれの機器から患者管理機器13によってリクエストされるか、またはそれぞれの機器によって患者管理機器13に定期的に報告される。構成カタログは、患者管理機器13と、それぞれの患者17のためのそれぞれの医療機器との間の一意の関連付けを格納する。一実施形態では、患者管理機器13は、セキュアな配布サーバによってプログラムコードとして格納された、更新または新しい機能セットを定期的にチェックし、次いで、患者管理機器は、セキュアなパッケージとして、あらゆる修正された、または新しいファームウェアまたはソフトウェアを、セキュアにダウンロードすなわち「プル」する(「更新」と称する)。それぞれのセキュアなパッケージは、デジタル署名される形態で、すなわち別の信頼できるソースによって署名されてセキュアな配布サーバに格納されるか、または特定の患者管理機器のためにセキュアな配布サーバによってデジタル署名されることができる。さらなる一実施形態では、セキュアな配布サーバ11は、あらゆる修正された、または新しいファームウェアまたはソフトウェアのためのプログラムコードを、当該の更新が利用可能となったときに、オンデマンドまたはインクリメンタルに、患者管理機器13に送信すなわち「プッシュ」するか、またはその更新を、患者管理機器のような特定のクラスの機器に一方的にブロードキャストすることによって送信する。オンデマンドの更新は、セキュアな配布サーバ11か、または相互接続ネットワーク12上の認証されたクライアントまたは類似した機器を経て開始することができる。それぞれの更新パッケージ認証し、その完全性をチェックすると、患者管理機器13は、その更新されたかまたは新しい機能セットを適切な医療機器にインストールし、インストールに成功すると、セキュアな配布サーバ11に通知する。さらなる一実施形態では、患者管理機器13ではなく、医療機器のうちの1つ以上は、インストール前に、それぞれの更新パッケージを認証し、その完全性をチェックする。加えて、セキュアな配布サーバ11または類似した機器は、患者管理機器13から格納データを定期的に抽出するが、このデータは1つ以上の関連する医療機器から事前に収集されたものである。以下、医療機器マッピング構成カタログおよび更新パッケージについて説明する。
【0014】
図2は、一例として、医療機器マッピングを格納するための構成カタログ40を示すデータ構造図である。構成カタログ40は、2つの目的を果たす。その1つは、構成カタログ40は、患者管理機器13と、IMD18のような特定の医療機器との間の一意の関連付けをマップすることである。もう1つは、構成カタログ40は、患者管理機器13と、それぞれの関連する医療機器の両方の動作特性を記録することである。例えば、エントリは、タイプ41、モデル42、製造番号43、およびソフトウェアのリビジョンレベル44によって医療機器を識別することができる。同様に、同じエントリまたは別個のリンクされたエントリ(図示せず)は、患者管理機器のタイプ45と、モデル46と、製造番号47と、ソフトウェアのリビジョンレベル48とを含むことができる。他のタイプの構成カタログ、ならびにレコード構造および機構も可能である。
【0015】
構成カタログ40内に記録された動作特性は、それぞれの機器および患者管理機器13のメーカーによって最初に提供することができる。次に、一実施形態では、患者管理機器13は、それぞれの機器を定期的にポーリングして、現在の動作特性およびそれらの動作特性を判断し、さらに、患者管理機器13の動作特性がセキュアな配布サーバ11に報告されて、構成カタログ40を更新する。さらなる一実施形態では、機器は、それらの動作特性を患者管理機器13に定期的に報告し、次いで、構成カタログの更新のために、セキュアな配布サーバ11に報告される。他の形態の構成カタログの更新も可能である。
【0016】
図3は、一例として、更新された機能セットを提供するための更新パッケージ60を示すデータ構造図である。更新パッケージ60は、セキュアな配布サーバ11によって発生され、患者管理機器または1つ以上の関連する医療機器のための、修正された、または新しい機能セットがセキュアに配布される。さらなる一実施形態では、更新パッケージ60は、全く分割不可能なセットとしてインストールされるか、または全くインストールされない機能のための、「アトミック」パッチを含むことができる。一実施形態では、それぞれの更新パッケージ60は、更新リクエストに応えて、患者管理機器13に提供される。さらなる一実施形態では、それぞれの更新パッケージ60は、更新された機能が利用可能となったときに、オンデマンドまたはインクリメンタルに、患者管理機器13に提供されるか、または更新された機能を、患者管理機器のような特定のクラスの機器に一方的にブロードキャストすることによって提供される。他の形態のセキュアな更新パッケージの配布も可能である。
【0017】
それぞれの更新パッケージ60は、機器タイプ61およびモデル62のような、更新コード65を適用する機器を識別するヘッダを含む。加えて、ヘッダは、更新前のソフトウェアのリビジョンレベル63および更新後のソフトウェアのリビジョンレベル64を識別し、これらは、それぞれ、適用すべき更新のソフトウェアのリビジョンレベルと、更新がインストールされた後に機器がなるソフトウェアのリビジョンレベルを識別する。さらなる一実施形態では、更新前ソフトウェアのリビジョンレベル63は、ある範囲の更新前のパッチのリビジョンレベルか、または単一の更新前のパッチリビジョンレベルだけを特定し得る。更新パッケージ60は、デジタル署名された「エンベロープ」(図示せず)、またはセキュアな配布サーバ11によって確立されたパッケージ内にカプセル化される。更新パッケージ60は、メーカーのような信頼できるソースによって予めデジタル署名するか、または特定の患者管理機器のために、セキュアな配布サーバによってデジタル署名することができる。一実施形態では、更新パッケージの認証は、公開/秘密鍵ペアベースのデジタル署名のような、非対称暗号化の形態で提供されるが、他のタイプの認証および暗号化も可能である。
【0018】
図4は、図1のセキュアな配布サーバ11を示すブロック図である。セキュアな配布サーバ11は、修正された新たな機能セット77を、患者管理機器および関連する医療機器にセキュアに配布するための中心部として機能する。セキュアな配布サーバ11は、セキュアな配布サーバソフトウェアとして定義された、一連のソフトウェアモジュールを実行する。セキュアな配布サーバ11は、構成カタログ76とともに、セキュアなストレージ機器75を介して機能セット77にアクセスする。この構成カタログは、患者管理機器13と、特定の患者17のための、おそらくは複数の医療機器のうちの1つとの間の一意の関連付けをマップする。
【0019】
セキュアな配布サーバ11は、リモートにある患者管理機器13から受信した更新リクエスト82を処理する更新チェッカおよびベリファイア71とを含む。さらなる一実施形態では、更新チェッカおよびベリファイア71は、患者管理機器から、およびさらなる一実施形態では機器から、受信した構成カタログの更新81を処理して、動作特定を記録する構成カタログ76を更新する。さらなる一実施形態では、更新チェッカおよびベリファイア71は、患者管理機器および機器から、構成カタログの更新81を定期的にリクエストする。同様に、更新リクエスト82は、医療機器から直接発生させることができる。更新チェッカおよびベリファイア71は、構成カタログ76にアクセスして、それぞれの格納された機器構成に対して、修正された、または新しいあらゆる機能セット77を識別する。セキュアな配布サーバ11は、認証72も含むが、認証72は、あらゆる修正された、または新しい機能セット77を、セキュアな配布サーバ11に対して一意の、格納された非対称の秘密鍵74を使用して、デジタル署名されたパッケージにパッケージ化する。それぞれのパッケージは、信頼できるソースによってすでにデジタル署名されているか、または特定の患者管理機器13のための非対称秘密鍵74および非対称公開鍵を使用して、セキュアな配布サーバによってデジタル署名することができる。デジタル署名された機能セットは、次いで、更新パッケージ84として、リクエスト側の患者管理機器13に、または、さらなる一実施形態ではリクエスト側の機器に送信される。さらなる一実施形態では、デジタル署名された機能セットは、修正された、または新しい機能セット77が利用可能になったときに、患者管理機器13に、またはさらなる一実施形態では機器に、更新パッケージ84として送信されるか、または、更新された機能を、患者管理機器のような特定のクラスの機器に一方的にブロードキャストすることによって送信する。加えて、更新チェッカおよびベリファイア71は、リクエスト側の患者管理機器13から機能セット77のインストールが成功したことを確認する通知80を受信し、構成カタログ76を更新する。更新チェッカおよびベリファイア71によって行われる動作、および認証72は、図10を参照して以下に詳述する。
【0020】
さらなる一実施形態では、セキュアな配布サーバ11は、データの抽出、分析、および格納73も含む。セキュアな配布サーバは、定期的に、データリクエスト85を1つ以上の患者管理機器13にセキュアに送信して、患者管理機器が収集したか、または1つ以上の関連付けられた医療機器からの、格納されたデータのデータセット83のアップロードをリクエストする。データセット83は、一例として、ペースメーカ、ICDまたは類似した機器のような埋め込み型医療機器、または心電計、ホルターモニタ、または類似した機器のような外付け型医療機器とともに、あるいは従来の医学的な試験および評価を通じて、収集および処理された個々の患者の生理学的な定量的評価指標、および生活の質の定性的評価指標を含むことができる。また、データセット83は、1つ以上の病状を分析することができ、関連する文献、共有に係るBardyに対する米国特許第6,336,903号(2002年1月8日発行)、Bardyに対する米国特許第6,368,284号(2002年4月9日発行)、Bardyに対する米国特許第6,398,728号(2002年6月2日発行)、Bardyに対する米国特許第6,411,840号(2002年6月25日発行)、およびBardyに対する米国特許第6,440,066号(2002年8月27日発行)などに記載されており、それらの開示は参照することにより組み込まれる。最後に、データセットは、抽出された機器データ79として、データベース78内に格納することができる。データベース78は、セキュアな配布サーバ11に直接接続する必要は無く、代わりに、例えば、集中データベースサーバ(図示せず)を介してリモートでアクセスすることができる。
【0021】
一実施形態では、セキュアな配布サーバ11は、汎用のサーバグレードのコンピュータであり、セキュアな配布サーバソフトウェアとして定義された一連のソフトウェアモジュールを実行し、例えば、中央処理ユニット(CPU)、メモリ、ディスクストレージ、ネットワークインターフェース、ディスプレイ、CD−ROM、キーボード、マウス、およびこれらの要素を相互接続するための種々の構成要素などの、普通にコンピュータで見られる構成要素を有する。
【0022】
図5Aおよび図5Bは、図1のシステム10によるエンドツーエンドのセキュアなパッケージ処理100および120を示すルーティング図である。エンドツーエンドの処理には、セキュアな配布サーバおよびリクエスト側の患者管理機器を伴い、これらは、更新パッケージがこれらを通じてセキュアに配信される、ネットワークインフラストラクチャのエンドポイントである。移行の間に、更新パッケージは、「セキュアなデジタルコンテナ」すなわち、更新のソースまたはセキュアな配信サーバのデジタル署名を受けて発生されたパッケージにカプセル化される。
【0023】
まず図5Aを参照すると、更新ソース102は、更新パッケージ101を作成およびデジタル署名し、このパッケージは、署名済み更新103としてセキュアな配布サーバ104に送信される。セキュアな配布サーバソース104は、署名済み更新103を格納する前に、受信した署名済み更新103を認証し、その完全性をチェックする。リクエストされたときには、セキュアな配布サーバ104は、署名済み更新103をリクエスト側の患者管理機器105に送信し、この機器も同様に、更新101を格納またはインストールする前に、受信した署名済み更新103を認証し、その完全性をチェックする。さらなる一実施形態では、患者管理機器105は、署名済み更新103をIMD106に送信し、このIMDも同様に、更新101をインストールする前に、受信した署名済み更新103を認証し、その完全性をチェックする。
【0024】
次に図5Bを参照すると、更新ソース122は、更新パッケージ121を作成およびデジタル署名し、このパッケージは、署名済み更新123としてセキュアな配布サーバ124に送信される。セキュアな配布サーバソース124は、署名済み更新123を格納する前に、受信した署名済み更新123を認証し、その完全性をチェックする。また、セキュアな配布サーバ124は、データ125を署名済み更新123に追加し、組み合わせパッケージ126全体をデジタル署名する。リクエストされたときには、セキュアな配布サーバ124は、署名済み組み合わせパッケージ126をリクエスト側の患者管理機器127に送信し、この機器も同様に、更新121およびデータ125を格納またはインストールする前に、受信した署名済み組み合わせパッケージ126を認証し、その完全性をチェックする。さらなる一実施形態では、患者管理機器127は、署名済み組み合わせパッケージ126をIMD128に送信し、このIMDも同様に、更新121およびデータ125をインストールする前に、受信した組み合わせパッケージ126を認証し、その完全性をチェックする。他の形態のエンドツーエンドのセキュアなパッケージ処理も可能である。
【0025】
図6は、図1のシステム10によって行われる構成カタログ更新のダイアログ150を示すプロセスフロー図である。一実施形態では、更新カタログの更新ダイアログは、それぞれの患者管理機器13によって開始され、定期的に1つ以上の関連する医療機器に接続して(動作151)、動作特性のたな卸しを行う(ブロック152)。動作特性は、次いでセキュアな配布サーバ11に提供され、構成カタログ76を更新する(ブロック153)。次の定期的な構成カタログの更新時に、再び処理を継続する(動作151)。さらなる一実施形態では、それぞれの関連する医療機器は、定期的に患者管理機器に接続し(動作151)、類似した一連の動作に続いて、動作特性のたな卸しを行い、構成カタログを更新する。
【0026】
図7は、図1のシステム10によって行われるアップロードのダイアログ160を示すプロセスフロー図である。一実施形態では、それぞれの患者管理機器13は、機器のうちの1つ以上に定期的に接続し(動作161)、医療機器によって収集されたあらゆる格納データを抽出する(動作162)ことによって、1つ以上の関連する医療機器のための集中ハブとして機能する。抽出されたデータは、次いで、分析および格納のために、セキュアな配布サーバ11または類似した機器に送信される(動作163)。このプロセスは、患者管理機器13による次の定期的な接続時に継続する(動作161)。
【0027】
図8は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのサーバ方法170を示す工程図である。本方法の目的は、患者管理機器13から継続的に受信される更新リクエストを、セキュアな配布サーバ11において処理することである。さらなる一実施形態では、方法170は、患者管理機器13によって格納されたデータの定期的な抽出も行う。
【0028】
最初に、暗号鍵が発生される(ブロック171)。暗号鍵は、サーバが最初に構成されたときに一度だけ発生される。システムによっては、暗号鍵は、セキュアな配布サーバ11によって発生させるか、または製造プロセスの一部としてインストールすることができる。いずれの場合も、暗号鍵はセキュアな配布サーバ11によって永続的に格納され、その後、その暗号鍵を使用して、更新パッケージをデジタル署名し、および、例えば患者管理機器とのセキュアな接続を確立する。セキュアな接続とは、それを通じて、破損させずに、あらゆるサードパーティによりデータのコンテンツを見られることがなく、またデータの送信側または受信側が常に既知であり認証されていることを保証して、データを交換することができる通信経路である。
【0029】
それぞれの患者管理機器13および関連する医療機器の最初の機器構成は、構成カタログ76内に記録される(ブロック172)。更新リクエストおよび、さらなる一実施形態では、データ抽出は、次のように連続的に処理される(ブロック173〜178)。さらなる一実施形態では、図9を参照して以下に詳述するように、格納データは、それぞれの患者管理機器13から定期的に抽出される(ブロック174)。同様に、図10を参照して以下に詳述するように、患者管理機器13から受信した更新リクエストが処理される(ブロック175)。さらなる実施形態では、それぞれの患者管理機器13および関連する医療機器の動作特性の更新は、構成カタログの更新リクエストに応えて、または患者管理機器または機器から自然発生した構成カタログの更新に基づいて、セキュアな配布サーバ11に提供されるときに、構成カタログ76内に記録される(ブロック176)。セキュアな配布サーバ11は、能動的にデータを抽出しないか、または更新リクエストを処理しないときは、待機モードを継続する(ブロック177)か、または他の処理を行う。セキュアな配布サーバ11が動作を終了するまで処理は継続される(ブロック178)。
【0030】
図9は、図8の方法170で使用する定期的にデータを取り出すためのルーチン190を示す工程図である。さらなる一実施形態では、セキュアな配布サーバ11または類似した機器は、それぞれの患者管理機器13によって収集および格納されたデータを定期的に抽出し、抽出したデータを分析してデータベースに格納する。この定期的なデータ抽出方法は、サーバまたは患者管理機器によって開始することが可能である。
【0031】
サーバおよび患者管理機器は、セキュアな暗号方法を使用して、ネットワークを通じて互いに接続して互いに認証し(ブロック191)、共通の暗号接続鍵を確立し(ブロック192)、暗号によって保護されたセキュアな接続を確立する(ブロック193)。サーバまたは患者管理機器がデータの交換を必要とするたびに、接続は「セッション」を確立する。単一の接続が確立され、セッション期間中は開いたままとなる。患者管理機器13によって格納されるあらゆるデータは、サーバによって抽出され、データの完全性がチェックされ、データの移行中に変更が生じなかったことを保証する(ブロック194)。データは、データベースに格納され(ブロック195)、サーバは、そのデータを削除するように患者管理機器13に命令する(ブロック196)。次いで、図8を参照して上述したように、セキュアな接続が閉じられ(ブロック197)、抽出されたデータは、セキュアな配布サーバ11によってさらに処理する(ブロック198)ことができる。
【0032】
図10は、図8の方法170(ブロック175)で使用する更新リクエストを処理するためのルーチン210を示す工程図である。このルーチンの目的は、それぞれの患者管理機器13から受信した更新リクエストを処理することである。
【0033】
リクエスト側の患者管理機器13とのセキュアな接続が確立され(ブロック211)、更新リクエスト82が受信される(ブロック212)。サーバまたは患者管理機器がデータの交換を必要とするたびに、接続は「セッション」を確立する。単一の接続が確立され、セッション期間中は開いたままとなる。さらなる一実施形態では、データの秘匿性に懸念がなければ、非セキュアな接続を使用することが可能である。構成レポートは、リクエスト側の患者管理機器13から受信され(ブロック213)、構成カタログは、更新のためにチェックされる(ブロック214)。ソフトウェアまたはファームウェアのいずれかのプログラムコードが更新されていた場合(ブロック214)は、更新パッケージが作成され(ブロック215)、セキュアな配布サーバ11(図4に示す)のデジタル署名74を使用して、リクエスト側の患者管理機器13のためにデジタル署名される(ブロック216)。さらなる一実施形態では、更新パッケージはすでにデジタル署名され、セキュアな配布サーバ11は、ストレージ14から更新パッケージを抽出するだけである。さらなる実施形態では、セキュアな配布サーバ11は、当該の更新が利用可能となったときに、オンデマンドまたはインクリメンタルに、あらゆる修正された、または新しいファームウェアまたはソフトウェアを、患者管理機器13に提供するか、またはその更新を、患者管理機器のような特定のクラスの機器に一方的にブロードキャストすることによって提供する。デジタル署名されたパッケージは、リクエスト側の患者管理機器13に送信されるか、または、さらなる一実施形態では、医療機器のうちの1つ以上に送信され(ブロック217)、セキュアな配布サーバ11は、インストール成功の通知の受信を待つ(ブロック218)。成功した場合(ブロック219)、構成カタログ76内の機器構成が更新される(ブロック220)。次いで、セキュアな接続が閉じられる(ブロック221)。
【0034】
患者管理機器13とセキュアな配布サーバ11との間に影響を及ぼす不具合状態が無い場合は、新しいまたは修正された機能セットおよび確認通知が、信頼性が高いとされる接続を通じて通信される。しかしながら、データの破損または喪失のようなエラー状態は、相互接続ネットワーク12によって実装されたより下層のネットワークプロトコルによるエラーの検出および補正に加えて、またはその代わりに、エラーの検出および補正機能を相互接続ネットワーク12に導入することによって処理することができる。例えば、一実施形態では、相互接続ネットワーク12は、伝送制御プロトコル/インターネットプロトコル(TCP/IP)のネットワーク通信仕様に基づいており、信頼性の高いメッセージの移送を保証する。他のネットワークの実装も可能である。例えば、ユーザデータグラムプロトコル(UDP)をTCPの変わりに用いることが可能であり、保証されたデータ配信を犠牲にして、代わりに上位のプロトコル層に依存して、必要なエラーの検出および補正を提供する。同様に、他のネットワークトポロジおよび機構も可能である。
【0035】
図11は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するための方法230を示す工程図である。患者管理機器の方法の目的は、それぞれの関連する医療機器、および患者管理機器自体にインストールされたソフトウェアおよびファームウェアのためのプログラムコードを更新することである。さらなる一実施形態では、それぞれの患者管理機器13は、セキュアな配布サーバ11または類似した機器による、後の抽出のために、関連する医療機器のそれぞれからデータを収集し、格納する。
【0036】
ソフトウェアおよびファームウェアのためのプログラムコードは、定期的にアップデートされ、さらなる一実施形態では、以下のように、連続する処理ループ(ブロック231〜234)で送信されたデータが格納される。ファームウェアおよびソフトウェアのためのプログラムコードは、図12を参照して以下に詳述するように、定期的にアップデートされる(ブロック232)。さらなる一実施形態では、図13を参照して以下に詳述するように、それぞれの関連する医療機器から収集および格納されたデータは、セキュアな配布サーバ11または類似した機器に送信される(ブロック233)。
【0037】
図12は、図11の方法230で使用する定期的な更新を行うためのルーチン250を示す工程図である。このルーチンの目的は、それぞれの関連する医療機器の、およびリクエストする患者管理機器13自体のファームウェアおよびソフトウェアのためのプログラムコードの更新を、定期的にリクエストし、インストールすることである。
【0038】
セキュアな配布サーバ11とのセキュアな接続が確立される(ブロック251)。サーバまたは患者管理機器がデータの交換を必要とするたびに、接続は「セッション」を確立する。単一の接続が確立され、セッション期間中は開いたままとなる。更新リクエスト82は、セキュアな配布サーバ11に定期的に送信される(ブロック252)。関連する医療機器およびリクエストする患者管理機器13のそれぞれの構成レポートが作成され(ブロック253)、セキュアな接続を通じてセキュアな配布サーバ11に送信される(ブロック254)。更新パッケージ84を受信した場合(ブロック255)は、パッケージが認証される(ブロック256)。別に、更新パッケージを受信しなかった場合(ブロック255)は、セキュアな配布サーバ11とのセキュアな接続が閉じられる(ブロック266)。認証が成功した場合(ブロック257)は、パッケージの完全性がチェックされる(ブロック258)。別に、認証に失敗した場合(ブロック257)は、セキュアな配布サーバ11とのセキュアな接続が閉じられる(ブロック266)。完全性が正常であった場合(ブロック259)は、パッケージ内に含まれるそれぞれの更新がインストールされる(ブロック260)。別に、完全性に異常があった場合(ブロック259)は、サーバは、更新リクエストをリトライするように通知される(ブロック261)。インストールに成功した場合(ブロック262)は、セキュアな配布サーバ11にその旨が通知され(ブロック263)、ソフトウェアまたはファームウェアの交換されたプログラムコードが削除される(ブロック264)。別に、インストールに失敗した場合(ブロック262)は、サーバには失敗したことが通知される(ブロック265)。最後に、セキュアな配布サーバ11とのセキュアな接続が閉じられる(ブロック266)。さらなる一実施形態では、患者管理機器13ではなく、医療機器のうちの1つ以上は、セキュアな配布サーバ11とのセキュアな接続を確立し、更新パッケージ84の受信、認証、その完全性のチェック、およびインストールを行う。さらなる一実施形態では、パッケージ84は、セキュアな配布サーバ11から一方的にブロードキャストして、患者管理機器のような特定のクラスの機器を更新することができ、当該のそれぞれの更新は、自動的に、または次の適切な機会にインストールされる。
【0039】
さらなる実施形態では、患者管理機器は、所定のクラスの機器のための更新を受信および格納することができ、患者管理機器は、以降の転送のために機器と通信し、その後機器がその更新を適用する。
【0040】
図13は、図11の方法230で使用する格納データを送信するためのルーチン270を示す工程図である。さらなる一実施形態では、このルーチンの目的は、セキュアな配布サーバ11または類似した機器による後での抽出のために、それぞれの関連する医療機器からデータを収集し、一時的に格納することである。
【0041】
最初に、それぞれの機器は、次のような処理ループにおいてポーリングされる(ブロック271〜275)。セキュアな接続は、それぞれの医療機器と定期的に確立される(ブロック272)。最後のセキュアな接続以降に格納されたあらゆるデータが抽出され(ブロック273)、セキュアな接続が閉じられる(ブロック274)。定期的に、セキュアな配布サーバ11または類似した機器は、患者管理機器13とのセキュアな接続を確立する(ブロック276)。サーバまたは患者管理機器がデータの交換を必要とするたびに、接続は「セッション」を確立する。単一の接続が確立され、セッション期間中は開いたままとなる。患者管理機器13は、セキュアな配布サーバ11または類似した機器から抽出リクエストを受信し(ブロック276)、抽出されたデータが送信される(ブロック278)。最後に、セキュアな配布サーバ11または類似した機器とのセキュアな接続が閉じられる(ブロック279)。
【0042】
さらなる実施形態では、機器のうちの1つ以上は、一時的に格納されたデータの患者管理機器13、セキュアな配布サーバ11、または類似した機器へのアップロードを開始する。機器は、所定のスケジュールに従ってアップロードを開始するか、または受信システムによるポーリングを用いることが可能である。他の形態のデータのアップロードおよび交換も可能であり、プッシュ、プル、およびスケジュールされたデータ交換が含まれる。
【0043】
本発明は、その好適な実施態様を参照して図と共に記載されているが、本発明の精神と範囲から逸脱することなく、形状および細部における様々な変更が可能であることは、当業者によって理解されよう。
【図面の簡単な説明】
【0044】
【図1】図1は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのシステムを示す機能ブロック図である。
【図2】図2は、一例として、医療機器マッピングを格納するための構成カタログを示すデータ構造図である。
【図3】図3は、一例として、更新された機能セットを提供するための更新パッケージを示すデータ構造図である。
【図4】図4は、図1のセキュアな配布サーバを示すブロック図である。
【図5A】図5Aは、図1のシステムによるエンドツーエンドのセキュアなパッケージ処理を示すルーティング図である。
【図5B】図5Bは、図1のシステムによるエンドツーエンドのセキュアなパッケージ処理を示すルーティング図である。
【図6】図6は、図1のシステムによって行われる構成カタログ更新のダイアログを示すプロセスフロー図である。
【図7】図7は、図1のシステムによって行われるアップロードのダイアログを示すプロセスフロー図である。
【図8】図8は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのサーバ方法を示す工程図である。
【図9】図9は、図7の方法で使用する定期的にデータを取り出すためのルーチンを示す工程図である。
【図10−1】図10は、図7の方法で使用する更新リクエストを処理するためのルーチンを示す工程図である。
【図10−2】図10は、図7の方法で使用する更新リクエストを処理するためのルーチンを示す工程図である。
【図11】図11は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するための方法を示す工程図である。
【図12−1】図12は、図11の方法で使用する定期的な更新を行うためのルーチンを示す工程図である。
【図12−2】図12は、図11の方法で使用する定期的な更新を行うためのルーチンを示す工程図である。
【図13】図13は、図11の方法で使用する格納データを送信するためのルーチンを示す工程図である。
【技術分野】
【0001】
本発明は、概して医療機器管理に関し、具体的には、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのシステムおよび方法に関する。
【背景技術】
【0002】
ペースメーカおよび埋め込み型除細動器(Implantable Cardioverter−defibrillator:ICD)のような、心臓用埋め込み型医療機器(Implantable Medical Device:IMD)は、概して大胸筋を通じて皮下に埋め込まれる。心臓治療を行い、心肺の生理機能を監視する一連の導線も、頭部および鎖骨下静脈を使用して、局所麻酔下で経静脈的に埋め込まれる。IMDの電力は、普通は、高エネルギ密度、低内部損失で、長貯蔵寿命であるバッテリによって提供される。例えば、埋め込まれた単腔ペースメーカは、ヨウ化リチウムバッテリを使用し、期待埋め込み寿命は7年〜12年である。二腔ペースメーカは、リチウム銀酸化バナジウムバッテリを使用し、期待埋め込み寿命は5年〜10年である。
【0003】
通常、IMDは、バッテリ寿命が切れたときに全て交換され、元の埋め込み時期以降に生じ得る、新しい機能や進歩した技術を活用する。IMDの交換には手術が必要であり、その手術は、傷害、感染、回復時間、および関連する合併症といった付帯リスクを伴う。導線または問題を含むIMDに破損または故障が生じたときなどに、機器を交換しなければならないような状況を限定または排除することによって、外科的リスクを最小限に抑えることができる。
【0004】
交換する前に、プログラマ型の機器を使用してオンボードのプログラミングソフトウェアまたはファームウェアをアップグレードすることによって、IMDの動作特性およびプログラミングの暫定的なアップグレードを臨床で行うことができる。この種の更新は、臨床的設定に限定され、医師の存在が必要であり、軽微だが必要なアップグレードを大きな患者集団に行う必要のある場合に問題となり得る。修正は、それぞれのIMDの特定のモデルおよびソフトウェア、またはファームウェアのリビジョンレベルに正確に適合させなければならない。適切なアップグレード性の確保には、損傷を与えるか、または機器を動作不能にする可能性のある変更の導入を回避するために、特別な注意が必要である。
【0005】
利用可能なときに、臨床ソフトウェアまたはファームウェアのアップグレードは、医師の管理下でのみ行うことができる。プログラマ型の機器は、誘導テレメトリを介したIMDへの問い合わせに使用される。医師と患者との接近によって、承認が示唆され、IMDへのセキュアな排他的アクセスが仮定される。ソフトウェアまたはファームウェアのアップグレードは、その患者に埋め込まれた機器のみに限定される。埋め込み型または外付け型に関わらず、他の医療機器は、別々に問い合わせおよびアップグレードを行わなければならない。その結果、複数の医療機器管理には、患者単位での機能のアップグレードおよび実行中のメンテナンスのためにそれぞれの医療機器および関連する動作特性を個々に追跡する必要がある。この医療機器管理の負担は、患者集団が大きくなることで増加する。
【発明の開示】
【発明が解決しようとする課題】
【0006】
したがって、リモートで非外科的なアップグレードをIMDに提供する医療機器管理システムが必要である。このような手法は、患者単位および患者集団単位で、埋め込み型と外付け型の両方の医療機器に使用されるソフトウェアおよびファームウェアに対して、非臨床的かつセキュアで、認証されたアップグレードを提供することが好ましい。このような手法は、インターネットのような公共インフラストラクチャを活用して、最も経済的なソリューションを医療機器管理に提供し、一方で、暗号化技術を使用して、高レベルのセキュリティおよび信頼性を保持することが好ましい。
【課題を解決するための手段】
【0007】
システムおよび方法は、患者管理機器と、受動的および能動的埋め込み型および外付け型医療機器を含む、患者管理機器に関連する1つ以上の医療機器との間の一意のマッピングの構成カタログを保持する、セキュアな配布サーバを含む。それぞれの関連する患者医療機器に提供されるソフトウェアおよびファームウェアの識別は、患者管理機器によっていずれも定期的にリクエストされるか、またはそれぞれの機器によって患者管理機器に自律的に報告される。一実施形態では、患者管理機器は、定期的に、セキュアな配布サーバから、機器の、および患者管理機器自体のソフトウェアおよびファームウェアに対する更新をリクエストし、セキュアな配布サーバは、あらゆる新しいまたは修正された複数の機能セットを更新パッケージとして提供するが、これらは、信頼できるソースによってすでにデジタル署名されているか、または特定の患者管理機器のためのセキュアな配布サーバによってデジタル署名されている。さらなる一実施態様では、セキュアな配布サーバは、あらゆる新しいまたは修正された機能セットを、当該のセットが利用可能となったときに、患者管理機器に定期的に提供する。患者管理機器は、信頼できるソースを認証し、インストール前にそれぞれの更新パッケージの完全性をチェックする。信頼できるソースによるデジタル署名は、それぞれの患者管理機器での署名確認と組み合わせて、更新パッケージの信頼性および完全性を保証する。これらのプロセスは、信頼チェーンを提供して、新しいまたは修正された機能セットをセキュアに配布する。患者管理機器は、アップグレードまたはインストールが成功したときに、セキュアな配布サーバへ通知を返信する。さらなる実施形態では、患者管理機器ではなく、それぞれの機器は、インストールによって信頼チェーンをその機器自体に拡張する前に、それぞれの更新パッケージの署名確認を行う。それに応じて、ソフトウェアおよびファームウェアに対する小規模および大規模な変更は、臨床患者を訪問させることなく、1つ以上のネットワークを通じてリモート機器に配布することができる。
【0008】
一実施形態では、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのシステムおよび方法を提供する。医療機器と、医療機器に一時的に接続可能な通信機器との間でのデータダウンロードに対して、一意の関連付けがマップされる。構成カタログは保持され、医療機器および通信機器のうちの少なくとも1つの動作特性を含む。構成カタログ内に保持された動作特性は、ダウンロード可能な複数の機能セットを格納するデータベースに対して、定期的にチェックされ、変更された動作特性を含む1つ以上の機能セットは、配布のために識別される。1つ以上の機能セットは、デジタル署名され、1つ以上の機能セットは、複数のネットワークを通じて通信機器に提供される。1つ以上の機能セットが認証され、それらの完全性は、信頼できるソースで始まり通信機器で終わる信頼チェーンを通じてチェックされる。
【0009】
本発明のさらなる実施形態は、以下の詳細な説明から当業者に容易に明らかになり、本発明の実施形態は、本発明を実行を想定した最良の形態を例示することによって記載されている。当然のことながら、本発明は他の異なる実施形態とすることができ、その複数の詳細は、全てが本発明の趣旨および範囲から逸脱することなく、種々の明らかな点において修正することができる。したがって、図面および詳細な説明は、事実上例示的なものであり、制限的なものではないとみなされるべきである。
【発明を実施するための最良の形態】
【0010】
図1は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのシステム10を示す機能ブロック図である。システム10は、セキュアな配布サーバ11と、インターネットのような相互接続ネットワーク12を含む複数のネットワークを通じてリモートに相互接続された患者管理機器13と、相互接続ネットワーク15aおよび15bとを含む。一実施形態では、個々のネットワークは、ファイアウォール16aおよび16b、ゲートウェイ、または類似したセキュリティ機器によって、それぞれの境界でセキュアに保護される。それぞれのファイアウォール16aおよび16bは、関連するネットワークを無許可のアクセスおよび侵入から保護する。他のネットワークのトポロジ、構成、および機構も可能である。
【0011】
セキュアな配布サーバ11は、図4を参照して以下に詳述するように、ストレージ機器14に操作可能に接続され、複数のネットワークを通じて患者管理機器13によってリモートでアクセス可能であり、更新または新しい機能セットをセキュアに配布する。患者管理機器13は、主に通信機器として機能し、患者通信アプリケーションソフトウェアとして定義された一連のソフトウェアモジュールを実行する。加えて、患者管理機器13は、医療機器機能を含むこともできる。患者管理機器13は、ユーザインターフェース手段を含み、この手段は、スピーカ、マイクロホン、ディスプレイ、タッチスクリーンまたはキーパッドのような双方向ユーザインターフェース、「強固な」Bluetooth、ワイヤレスフェデリティ「WiFi」または「WiMax」、または他の無線周波数インターフェースを含み、外付け型および埋め込み型医療機器が論理的にインターフェースされることを可能にする。一実施形態では、患者管理機器13は、特に外付け型および埋め込み型医療機器にインターフェースされる、専用のハードウェア機器として実装される。さらなる一実施形態では、患者管理機器13は、一体的に実装するか、または携帯情報端末、携帯電話、および類似した機器のような、ポータブルコンピューティングデバイスに機能的に接続されたアドオンモジュールとして実装することが可能である。
【0012】
インターフェース可能な外付け型および埋め込み型医療機器は、埋め込み型医療機器18、埋め込み型センサ19、外付け型医療機器20、または外付け型センサ21のような能動型治療用または監視機器と、外付け型医療機器22および外付け型センサ23のような受動型治療用または監視機器とを含む。これらの治療用および監視機器は、治療を行うか、またはセキュアな配布サーバ11または類似した機器によって、定量的な生理学的評価指標に処理することができるセンサ読取り値を提供することができる。埋め込み型医療機器18は、ペースメーカ、埋め込み型除細動器、心臓の再同期機器、薬品供給機器、および神経学的インプラントを含む。埋め込み型センサ19は、心臓または呼吸モニタ、および姿勢、アクティビティ、または血液の化学的性質のモニタを含む。能動型の外付け型医療機器20は、自動外付け型細動除去器を含む。能動型の外付け型センサ21は、ホルターモニタを含む。受動型の外付け型医療機器22は、ピルディスペンサを含む。最後に、受動型の外付け型センサ23は、重量計および血圧モニタを含む。能動型および受動型の、他のタイプの埋め込み型医療機器、埋め込み型センサ、外付け型医療機器、および外付け型センサも可能である。
【0013】
作動的に、セキュアな配布サーバ11は、患者管理機器13および1つ以上の関連する医療機器18〜23の動作特性の構成カタログを保持する。機器の動作特性は、それぞれの機器から患者管理機器13によってリクエストされるか、またはそれぞれの機器によって患者管理機器13に定期的に報告される。構成カタログは、患者管理機器13と、それぞれの患者17のためのそれぞれの医療機器との間の一意の関連付けを格納する。一実施形態では、患者管理機器13は、セキュアな配布サーバによってプログラムコードとして格納された、更新または新しい機能セットを定期的にチェックし、次いで、患者管理機器は、セキュアなパッケージとして、あらゆる修正された、または新しいファームウェアまたはソフトウェアを、セキュアにダウンロードすなわち「プル」する(「更新」と称する)。それぞれのセキュアなパッケージは、デジタル署名される形態で、すなわち別の信頼できるソースによって署名されてセキュアな配布サーバに格納されるか、または特定の患者管理機器のためにセキュアな配布サーバによってデジタル署名されることができる。さらなる一実施形態では、セキュアな配布サーバ11は、あらゆる修正された、または新しいファームウェアまたはソフトウェアのためのプログラムコードを、当該の更新が利用可能となったときに、オンデマンドまたはインクリメンタルに、患者管理機器13に送信すなわち「プッシュ」するか、またはその更新を、患者管理機器のような特定のクラスの機器に一方的にブロードキャストすることによって送信する。オンデマンドの更新は、セキュアな配布サーバ11か、または相互接続ネットワーク12上の認証されたクライアントまたは類似した機器を経て開始することができる。それぞれの更新パッケージ認証し、その完全性をチェックすると、患者管理機器13は、その更新されたかまたは新しい機能セットを適切な医療機器にインストールし、インストールに成功すると、セキュアな配布サーバ11に通知する。さらなる一実施形態では、患者管理機器13ではなく、医療機器のうちの1つ以上は、インストール前に、それぞれの更新パッケージを認証し、その完全性をチェックする。加えて、セキュアな配布サーバ11または類似した機器は、患者管理機器13から格納データを定期的に抽出するが、このデータは1つ以上の関連する医療機器から事前に収集されたものである。以下、医療機器マッピング構成カタログおよび更新パッケージについて説明する。
【0014】
図2は、一例として、医療機器マッピングを格納するための構成カタログ40を示すデータ構造図である。構成カタログ40は、2つの目的を果たす。その1つは、構成カタログ40は、患者管理機器13と、IMD18のような特定の医療機器との間の一意の関連付けをマップすることである。もう1つは、構成カタログ40は、患者管理機器13と、それぞれの関連する医療機器の両方の動作特性を記録することである。例えば、エントリは、タイプ41、モデル42、製造番号43、およびソフトウェアのリビジョンレベル44によって医療機器を識別することができる。同様に、同じエントリまたは別個のリンクされたエントリ(図示せず)は、患者管理機器のタイプ45と、モデル46と、製造番号47と、ソフトウェアのリビジョンレベル48とを含むことができる。他のタイプの構成カタログ、ならびにレコード構造および機構も可能である。
【0015】
構成カタログ40内に記録された動作特性は、それぞれの機器および患者管理機器13のメーカーによって最初に提供することができる。次に、一実施形態では、患者管理機器13は、それぞれの機器を定期的にポーリングして、現在の動作特性およびそれらの動作特性を判断し、さらに、患者管理機器13の動作特性がセキュアな配布サーバ11に報告されて、構成カタログ40を更新する。さらなる一実施形態では、機器は、それらの動作特性を患者管理機器13に定期的に報告し、次いで、構成カタログの更新のために、セキュアな配布サーバ11に報告される。他の形態の構成カタログの更新も可能である。
【0016】
図3は、一例として、更新された機能セットを提供するための更新パッケージ60を示すデータ構造図である。更新パッケージ60は、セキュアな配布サーバ11によって発生され、患者管理機器または1つ以上の関連する医療機器のための、修正された、または新しい機能セットがセキュアに配布される。さらなる一実施形態では、更新パッケージ60は、全く分割不可能なセットとしてインストールされるか、または全くインストールされない機能のための、「アトミック」パッチを含むことができる。一実施形態では、それぞれの更新パッケージ60は、更新リクエストに応えて、患者管理機器13に提供される。さらなる一実施形態では、それぞれの更新パッケージ60は、更新された機能が利用可能となったときに、オンデマンドまたはインクリメンタルに、患者管理機器13に提供されるか、または更新された機能を、患者管理機器のような特定のクラスの機器に一方的にブロードキャストすることによって提供される。他の形態のセキュアな更新パッケージの配布も可能である。
【0017】
それぞれの更新パッケージ60は、機器タイプ61およびモデル62のような、更新コード65を適用する機器を識別するヘッダを含む。加えて、ヘッダは、更新前のソフトウェアのリビジョンレベル63および更新後のソフトウェアのリビジョンレベル64を識別し、これらは、それぞれ、適用すべき更新のソフトウェアのリビジョンレベルと、更新がインストールされた後に機器がなるソフトウェアのリビジョンレベルを識別する。さらなる一実施形態では、更新前ソフトウェアのリビジョンレベル63は、ある範囲の更新前のパッチのリビジョンレベルか、または単一の更新前のパッチリビジョンレベルだけを特定し得る。更新パッケージ60は、デジタル署名された「エンベロープ」(図示せず)、またはセキュアな配布サーバ11によって確立されたパッケージ内にカプセル化される。更新パッケージ60は、メーカーのような信頼できるソースによって予めデジタル署名するか、または特定の患者管理機器のために、セキュアな配布サーバによってデジタル署名することができる。一実施形態では、更新パッケージの認証は、公開/秘密鍵ペアベースのデジタル署名のような、非対称暗号化の形態で提供されるが、他のタイプの認証および暗号化も可能である。
【0018】
図4は、図1のセキュアな配布サーバ11を示すブロック図である。セキュアな配布サーバ11は、修正された新たな機能セット77を、患者管理機器および関連する医療機器にセキュアに配布するための中心部として機能する。セキュアな配布サーバ11は、セキュアな配布サーバソフトウェアとして定義された、一連のソフトウェアモジュールを実行する。セキュアな配布サーバ11は、構成カタログ76とともに、セキュアなストレージ機器75を介して機能セット77にアクセスする。この構成カタログは、患者管理機器13と、特定の患者17のための、おそらくは複数の医療機器のうちの1つとの間の一意の関連付けをマップする。
【0019】
セキュアな配布サーバ11は、リモートにある患者管理機器13から受信した更新リクエスト82を処理する更新チェッカおよびベリファイア71とを含む。さらなる一実施形態では、更新チェッカおよびベリファイア71は、患者管理機器から、およびさらなる一実施形態では機器から、受信した構成カタログの更新81を処理して、動作特定を記録する構成カタログ76を更新する。さらなる一実施形態では、更新チェッカおよびベリファイア71は、患者管理機器および機器から、構成カタログの更新81を定期的にリクエストする。同様に、更新リクエスト82は、医療機器から直接発生させることができる。更新チェッカおよびベリファイア71は、構成カタログ76にアクセスして、それぞれの格納された機器構成に対して、修正された、または新しいあらゆる機能セット77を識別する。セキュアな配布サーバ11は、認証72も含むが、認証72は、あらゆる修正された、または新しい機能セット77を、セキュアな配布サーバ11に対して一意の、格納された非対称の秘密鍵74を使用して、デジタル署名されたパッケージにパッケージ化する。それぞれのパッケージは、信頼できるソースによってすでにデジタル署名されているか、または特定の患者管理機器13のための非対称秘密鍵74および非対称公開鍵を使用して、セキュアな配布サーバによってデジタル署名することができる。デジタル署名された機能セットは、次いで、更新パッケージ84として、リクエスト側の患者管理機器13に、または、さらなる一実施形態ではリクエスト側の機器に送信される。さらなる一実施形態では、デジタル署名された機能セットは、修正された、または新しい機能セット77が利用可能になったときに、患者管理機器13に、またはさらなる一実施形態では機器に、更新パッケージ84として送信されるか、または、更新された機能を、患者管理機器のような特定のクラスの機器に一方的にブロードキャストすることによって送信する。加えて、更新チェッカおよびベリファイア71は、リクエスト側の患者管理機器13から機能セット77のインストールが成功したことを確認する通知80を受信し、構成カタログ76を更新する。更新チェッカおよびベリファイア71によって行われる動作、および認証72は、図10を参照して以下に詳述する。
【0020】
さらなる一実施形態では、セキュアな配布サーバ11は、データの抽出、分析、および格納73も含む。セキュアな配布サーバは、定期的に、データリクエスト85を1つ以上の患者管理機器13にセキュアに送信して、患者管理機器が収集したか、または1つ以上の関連付けられた医療機器からの、格納されたデータのデータセット83のアップロードをリクエストする。データセット83は、一例として、ペースメーカ、ICDまたは類似した機器のような埋め込み型医療機器、または心電計、ホルターモニタ、または類似した機器のような外付け型医療機器とともに、あるいは従来の医学的な試験および評価を通じて、収集および処理された個々の患者の生理学的な定量的評価指標、および生活の質の定性的評価指標を含むことができる。また、データセット83は、1つ以上の病状を分析することができ、関連する文献、共有に係るBardyに対する米国特許第6,336,903号(2002年1月8日発行)、Bardyに対する米国特許第6,368,284号(2002年4月9日発行)、Bardyに対する米国特許第6,398,728号(2002年6月2日発行)、Bardyに対する米国特許第6,411,840号(2002年6月25日発行)、およびBardyに対する米国特許第6,440,066号(2002年8月27日発行)などに記載されており、それらの開示は参照することにより組み込まれる。最後に、データセットは、抽出された機器データ79として、データベース78内に格納することができる。データベース78は、セキュアな配布サーバ11に直接接続する必要は無く、代わりに、例えば、集中データベースサーバ(図示せず)を介してリモートでアクセスすることができる。
【0021】
一実施形態では、セキュアな配布サーバ11は、汎用のサーバグレードのコンピュータであり、セキュアな配布サーバソフトウェアとして定義された一連のソフトウェアモジュールを実行し、例えば、中央処理ユニット(CPU)、メモリ、ディスクストレージ、ネットワークインターフェース、ディスプレイ、CD−ROM、キーボード、マウス、およびこれらの要素を相互接続するための種々の構成要素などの、普通にコンピュータで見られる構成要素を有する。
【0022】
図5Aおよび図5Bは、図1のシステム10によるエンドツーエンドのセキュアなパッケージ処理100および120を示すルーティング図である。エンドツーエンドの処理には、セキュアな配布サーバおよびリクエスト側の患者管理機器を伴い、これらは、更新パッケージがこれらを通じてセキュアに配信される、ネットワークインフラストラクチャのエンドポイントである。移行の間に、更新パッケージは、「セキュアなデジタルコンテナ」すなわち、更新のソースまたはセキュアな配信サーバのデジタル署名を受けて発生されたパッケージにカプセル化される。
【0023】
まず図5Aを参照すると、更新ソース102は、更新パッケージ101を作成およびデジタル署名し、このパッケージは、署名済み更新103としてセキュアな配布サーバ104に送信される。セキュアな配布サーバソース104は、署名済み更新103を格納する前に、受信した署名済み更新103を認証し、その完全性をチェックする。リクエストされたときには、セキュアな配布サーバ104は、署名済み更新103をリクエスト側の患者管理機器105に送信し、この機器も同様に、更新101を格納またはインストールする前に、受信した署名済み更新103を認証し、その完全性をチェックする。さらなる一実施形態では、患者管理機器105は、署名済み更新103をIMD106に送信し、このIMDも同様に、更新101をインストールする前に、受信した署名済み更新103を認証し、その完全性をチェックする。
【0024】
次に図5Bを参照すると、更新ソース122は、更新パッケージ121を作成およびデジタル署名し、このパッケージは、署名済み更新123としてセキュアな配布サーバ124に送信される。セキュアな配布サーバソース124は、署名済み更新123を格納する前に、受信した署名済み更新123を認証し、その完全性をチェックする。また、セキュアな配布サーバ124は、データ125を署名済み更新123に追加し、組み合わせパッケージ126全体をデジタル署名する。リクエストされたときには、セキュアな配布サーバ124は、署名済み組み合わせパッケージ126をリクエスト側の患者管理機器127に送信し、この機器も同様に、更新121およびデータ125を格納またはインストールする前に、受信した署名済み組み合わせパッケージ126を認証し、その完全性をチェックする。さらなる一実施形態では、患者管理機器127は、署名済み組み合わせパッケージ126をIMD128に送信し、このIMDも同様に、更新121およびデータ125をインストールする前に、受信した組み合わせパッケージ126を認証し、その完全性をチェックする。他の形態のエンドツーエンドのセキュアなパッケージ処理も可能である。
【0025】
図6は、図1のシステム10によって行われる構成カタログ更新のダイアログ150を示すプロセスフロー図である。一実施形態では、更新カタログの更新ダイアログは、それぞれの患者管理機器13によって開始され、定期的に1つ以上の関連する医療機器に接続して(動作151)、動作特性のたな卸しを行う(ブロック152)。動作特性は、次いでセキュアな配布サーバ11に提供され、構成カタログ76を更新する(ブロック153)。次の定期的な構成カタログの更新時に、再び処理を継続する(動作151)。さらなる一実施形態では、それぞれの関連する医療機器は、定期的に患者管理機器に接続し(動作151)、類似した一連の動作に続いて、動作特性のたな卸しを行い、構成カタログを更新する。
【0026】
図7は、図1のシステム10によって行われるアップロードのダイアログ160を示すプロセスフロー図である。一実施形態では、それぞれの患者管理機器13は、機器のうちの1つ以上に定期的に接続し(動作161)、医療機器によって収集されたあらゆる格納データを抽出する(動作162)ことによって、1つ以上の関連する医療機器のための集中ハブとして機能する。抽出されたデータは、次いで、分析および格納のために、セキュアな配布サーバ11または類似した機器に送信される(動作163)。このプロセスは、患者管理機器13による次の定期的な接続時に継続する(動作161)。
【0027】
図8は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのサーバ方法170を示す工程図である。本方法の目的は、患者管理機器13から継続的に受信される更新リクエストを、セキュアな配布サーバ11において処理することである。さらなる一実施形態では、方法170は、患者管理機器13によって格納されたデータの定期的な抽出も行う。
【0028】
最初に、暗号鍵が発生される(ブロック171)。暗号鍵は、サーバが最初に構成されたときに一度だけ発生される。システムによっては、暗号鍵は、セキュアな配布サーバ11によって発生させるか、または製造プロセスの一部としてインストールすることができる。いずれの場合も、暗号鍵はセキュアな配布サーバ11によって永続的に格納され、その後、その暗号鍵を使用して、更新パッケージをデジタル署名し、および、例えば患者管理機器とのセキュアな接続を確立する。セキュアな接続とは、それを通じて、破損させずに、あらゆるサードパーティによりデータのコンテンツを見られることがなく、またデータの送信側または受信側が常に既知であり認証されていることを保証して、データを交換することができる通信経路である。
【0029】
それぞれの患者管理機器13および関連する医療機器の最初の機器構成は、構成カタログ76内に記録される(ブロック172)。更新リクエストおよび、さらなる一実施形態では、データ抽出は、次のように連続的に処理される(ブロック173〜178)。さらなる一実施形態では、図9を参照して以下に詳述するように、格納データは、それぞれの患者管理機器13から定期的に抽出される(ブロック174)。同様に、図10を参照して以下に詳述するように、患者管理機器13から受信した更新リクエストが処理される(ブロック175)。さらなる実施形態では、それぞれの患者管理機器13および関連する医療機器の動作特性の更新は、構成カタログの更新リクエストに応えて、または患者管理機器または機器から自然発生した構成カタログの更新に基づいて、セキュアな配布サーバ11に提供されるときに、構成カタログ76内に記録される(ブロック176)。セキュアな配布サーバ11は、能動的にデータを抽出しないか、または更新リクエストを処理しないときは、待機モードを継続する(ブロック177)か、または他の処理を行う。セキュアな配布サーバ11が動作を終了するまで処理は継続される(ブロック178)。
【0030】
図9は、図8の方法170で使用する定期的にデータを取り出すためのルーチン190を示す工程図である。さらなる一実施形態では、セキュアな配布サーバ11または類似した機器は、それぞれの患者管理機器13によって収集および格納されたデータを定期的に抽出し、抽出したデータを分析してデータベースに格納する。この定期的なデータ抽出方法は、サーバまたは患者管理機器によって開始することが可能である。
【0031】
サーバおよび患者管理機器は、セキュアな暗号方法を使用して、ネットワークを通じて互いに接続して互いに認証し(ブロック191)、共通の暗号接続鍵を確立し(ブロック192)、暗号によって保護されたセキュアな接続を確立する(ブロック193)。サーバまたは患者管理機器がデータの交換を必要とするたびに、接続は「セッション」を確立する。単一の接続が確立され、セッション期間中は開いたままとなる。患者管理機器13によって格納されるあらゆるデータは、サーバによって抽出され、データの完全性がチェックされ、データの移行中に変更が生じなかったことを保証する(ブロック194)。データは、データベースに格納され(ブロック195)、サーバは、そのデータを削除するように患者管理機器13に命令する(ブロック196)。次いで、図8を参照して上述したように、セキュアな接続が閉じられ(ブロック197)、抽出されたデータは、セキュアな配布サーバ11によってさらに処理する(ブロック198)ことができる。
【0032】
図10は、図8の方法170(ブロック175)で使用する更新リクエストを処理するためのルーチン210を示す工程図である。このルーチンの目的は、それぞれの患者管理機器13から受信した更新リクエストを処理することである。
【0033】
リクエスト側の患者管理機器13とのセキュアな接続が確立され(ブロック211)、更新リクエスト82が受信される(ブロック212)。サーバまたは患者管理機器がデータの交換を必要とするたびに、接続は「セッション」を確立する。単一の接続が確立され、セッション期間中は開いたままとなる。さらなる一実施形態では、データの秘匿性に懸念がなければ、非セキュアな接続を使用することが可能である。構成レポートは、リクエスト側の患者管理機器13から受信され(ブロック213)、構成カタログは、更新のためにチェックされる(ブロック214)。ソフトウェアまたはファームウェアのいずれかのプログラムコードが更新されていた場合(ブロック214)は、更新パッケージが作成され(ブロック215)、セキュアな配布サーバ11(図4に示す)のデジタル署名74を使用して、リクエスト側の患者管理機器13のためにデジタル署名される(ブロック216)。さらなる一実施形態では、更新パッケージはすでにデジタル署名され、セキュアな配布サーバ11は、ストレージ14から更新パッケージを抽出するだけである。さらなる実施形態では、セキュアな配布サーバ11は、当該の更新が利用可能となったときに、オンデマンドまたはインクリメンタルに、あらゆる修正された、または新しいファームウェアまたはソフトウェアを、患者管理機器13に提供するか、またはその更新を、患者管理機器のような特定のクラスの機器に一方的にブロードキャストすることによって提供する。デジタル署名されたパッケージは、リクエスト側の患者管理機器13に送信されるか、または、さらなる一実施形態では、医療機器のうちの1つ以上に送信され(ブロック217)、セキュアな配布サーバ11は、インストール成功の通知の受信を待つ(ブロック218)。成功した場合(ブロック219)、構成カタログ76内の機器構成が更新される(ブロック220)。次いで、セキュアな接続が閉じられる(ブロック221)。
【0034】
患者管理機器13とセキュアな配布サーバ11との間に影響を及ぼす不具合状態が無い場合は、新しいまたは修正された機能セットおよび確認通知が、信頼性が高いとされる接続を通じて通信される。しかしながら、データの破損または喪失のようなエラー状態は、相互接続ネットワーク12によって実装されたより下層のネットワークプロトコルによるエラーの検出および補正に加えて、またはその代わりに、エラーの検出および補正機能を相互接続ネットワーク12に導入することによって処理することができる。例えば、一実施形態では、相互接続ネットワーク12は、伝送制御プロトコル/インターネットプロトコル(TCP/IP)のネットワーク通信仕様に基づいており、信頼性の高いメッセージの移送を保証する。他のネットワークの実装も可能である。例えば、ユーザデータグラムプロトコル(UDP)をTCPの変わりに用いることが可能であり、保証されたデータ配信を犠牲にして、代わりに上位のプロトコル層に依存して、必要なエラーの検出および補正を提供する。同様に、他のネットワークトポロジおよび機構も可能である。
【0035】
図11は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するための方法230を示す工程図である。患者管理機器の方法の目的は、それぞれの関連する医療機器、および患者管理機器自体にインストールされたソフトウェアおよびファームウェアのためのプログラムコードを更新することである。さらなる一実施形態では、それぞれの患者管理機器13は、セキュアな配布サーバ11または類似した機器による、後の抽出のために、関連する医療機器のそれぞれからデータを収集し、格納する。
【0036】
ソフトウェアおよびファームウェアのためのプログラムコードは、定期的にアップデートされ、さらなる一実施形態では、以下のように、連続する処理ループ(ブロック231〜234)で送信されたデータが格納される。ファームウェアおよびソフトウェアのためのプログラムコードは、図12を参照して以下に詳述するように、定期的にアップデートされる(ブロック232)。さらなる一実施形態では、図13を参照して以下に詳述するように、それぞれの関連する医療機器から収集および格納されたデータは、セキュアな配布サーバ11または類似した機器に送信される(ブロック233)。
【0037】
図12は、図11の方法230で使用する定期的な更新を行うためのルーチン250を示す工程図である。このルーチンの目的は、それぞれの関連する医療機器の、およびリクエストする患者管理機器13自体のファームウェアおよびソフトウェアのためのプログラムコードの更新を、定期的にリクエストし、インストールすることである。
【0038】
セキュアな配布サーバ11とのセキュアな接続が確立される(ブロック251)。サーバまたは患者管理機器がデータの交換を必要とするたびに、接続は「セッション」を確立する。単一の接続が確立され、セッション期間中は開いたままとなる。更新リクエスト82は、セキュアな配布サーバ11に定期的に送信される(ブロック252)。関連する医療機器およびリクエストする患者管理機器13のそれぞれの構成レポートが作成され(ブロック253)、セキュアな接続を通じてセキュアな配布サーバ11に送信される(ブロック254)。更新パッケージ84を受信した場合(ブロック255)は、パッケージが認証される(ブロック256)。別に、更新パッケージを受信しなかった場合(ブロック255)は、セキュアな配布サーバ11とのセキュアな接続が閉じられる(ブロック266)。認証が成功した場合(ブロック257)は、パッケージの完全性がチェックされる(ブロック258)。別に、認証に失敗した場合(ブロック257)は、セキュアな配布サーバ11とのセキュアな接続が閉じられる(ブロック266)。完全性が正常であった場合(ブロック259)は、パッケージ内に含まれるそれぞれの更新がインストールされる(ブロック260)。別に、完全性に異常があった場合(ブロック259)は、サーバは、更新リクエストをリトライするように通知される(ブロック261)。インストールに成功した場合(ブロック262)は、セキュアな配布サーバ11にその旨が通知され(ブロック263)、ソフトウェアまたはファームウェアの交換されたプログラムコードが削除される(ブロック264)。別に、インストールに失敗した場合(ブロック262)は、サーバには失敗したことが通知される(ブロック265)。最後に、セキュアな配布サーバ11とのセキュアな接続が閉じられる(ブロック266)。さらなる一実施形態では、患者管理機器13ではなく、医療機器のうちの1つ以上は、セキュアな配布サーバ11とのセキュアな接続を確立し、更新パッケージ84の受信、認証、その完全性のチェック、およびインストールを行う。さらなる一実施形態では、パッケージ84は、セキュアな配布サーバ11から一方的にブロードキャストして、患者管理機器のような特定のクラスの機器を更新することができ、当該のそれぞれの更新は、自動的に、または次の適切な機会にインストールされる。
【0039】
さらなる実施形態では、患者管理機器は、所定のクラスの機器のための更新を受信および格納することができ、患者管理機器は、以降の転送のために機器と通信し、その後機器がその更新を適用する。
【0040】
図13は、図11の方法230で使用する格納データを送信するためのルーチン270を示す工程図である。さらなる一実施形態では、このルーチンの目的は、セキュアな配布サーバ11または類似した機器による後での抽出のために、それぞれの関連する医療機器からデータを収集し、一時的に格納することである。
【0041】
最初に、それぞれの機器は、次のような処理ループにおいてポーリングされる(ブロック271〜275)。セキュアな接続は、それぞれの医療機器と定期的に確立される(ブロック272)。最後のセキュアな接続以降に格納されたあらゆるデータが抽出され(ブロック273)、セキュアな接続が閉じられる(ブロック274)。定期的に、セキュアな配布サーバ11または類似した機器は、患者管理機器13とのセキュアな接続を確立する(ブロック276)。サーバまたは患者管理機器がデータの交換を必要とするたびに、接続は「セッション」を確立する。単一の接続が確立され、セッション期間中は開いたままとなる。患者管理機器13は、セキュアな配布サーバ11または類似した機器から抽出リクエストを受信し(ブロック276)、抽出されたデータが送信される(ブロック278)。最後に、セキュアな配布サーバ11または類似した機器とのセキュアな接続が閉じられる(ブロック279)。
【0042】
さらなる実施形態では、機器のうちの1つ以上は、一時的に格納されたデータの患者管理機器13、セキュアな配布サーバ11、または類似した機器へのアップロードを開始する。機器は、所定のスケジュールに従ってアップロードを開始するか、または受信システムによるポーリングを用いることが可能である。他の形態のデータのアップロードおよび交換も可能であり、プッシュ、プル、およびスケジュールされたデータ交換が含まれる。
【0043】
本発明は、その好適な実施態様を参照して図と共に記載されているが、本発明の精神と範囲から逸脱することなく、形状および細部における様々な変更が可能であることは、当業者によって理解されよう。
【図面の簡単な説明】
【0044】
【図1】図1は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのシステムを示す機能ブロック図である。
【図2】図2は、一例として、医療機器マッピングを格納するための構成カタログを示すデータ構造図である。
【図3】図3は、一例として、更新された機能セットを提供するための更新パッケージを示すデータ構造図である。
【図4】図4は、図1のセキュアな配布サーバを示すブロック図である。
【図5A】図5Aは、図1のシステムによるエンドツーエンドのセキュアなパッケージ処理を示すルーティング図である。
【図5B】図5Bは、図1のシステムによるエンドツーエンドのセキュアなパッケージ処理を示すルーティング図である。
【図6】図6は、図1のシステムによって行われる構成カタログ更新のダイアログを示すプロセスフロー図である。
【図7】図7は、図1のシステムによって行われるアップロードのダイアログを示すプロセスフロー図である。
【図8】図8は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するためのサーバ方法を示す工程図である。
【図9】図9は、図7の方法で使用する定期的にデータを取り出すためのルーチンを示す工程図である。
【図10−1】図10は、図7の方法で使用する更新リクエストを処理するためのルーチンを示す工程図である。
【図10−2】図10は、図7の方法で使用する更新リクエストを処理するためのルーチンを示す工程図である。
【図11】図11は、一実施形態による、セキュアな機能セット配布インフラストラクチャを医療機器管理に提供するための方法を示す工程図である。
【図12−1】図12は、図11の方法で使用する定期的な更新を行うためのルーチンを示す工程図である。
【図12−2】図12は、図11の方法で使用する定期的な更新を行うためのルーチンを示す工程図である。
【図13】図13は、図11の方法で使用する格納データを送信するためのルーチンを示す工程図である。
【特許請求の範囲】
【請求項1】
セキュアな機能セット(77)の配布インフラストラクチャを医療機器(18)管理に提供するためのシステム(10)であって、
医療機器(18)と、該医療機器(18)に一時的に接続可能な通信機器(13)との間でのデータダウンロードのための一意の関連付けマップ(40)と、
該医療機器(18)および該通信機器(13)のうちの少なくとも1つの動作特性(41〜48)を含む構成カタログ(76)と、
ダウンロード可能な機能セット(77)を格納するデータベース(75)に対して、該構成カタログ(76)内に保持された該動作特性(41〜48)を定期的にチェックし、変更された動作特性(41〜48)を含む1つ以上の機能セット(77)を配布のために識別する更新チェッカ(71)であって、該1つ以上の機能セット(77)は、デジタル署名(103)され、該1つ以上の機能セット(77)は、複数のネットワーク(12)を通じて該通信機器(13)に提供される、更新チェッカ(71)と、
信頼できるソース(11)で始まり該通信機器(13)で終わる信頼チェーンを通じて、該1つ以上の機能セット(77)を認証し、その完全性をチェックするオーセンティケータ(72)と
を備える、システム(10)。
【請求項2】
前記信頼できるソース(11)は、セキュアな配布サーバ(11)である、請求項1に記載のシステム(10)。
【請求項3】
前記1つ以上の機能セット(77)は、ダウンロードリクエストに応えて、前記通信機器(13)に送信される、請求項1に記載のシステム(10)。
【請求項4】
前記1つ以上の機能セット(77)は、セキュアな配布サーバ(11)から前記通信機器(13)に、オンデマンドまたはインクリメンタルに送信されるか、または一方的にブロードキャストされる、請求項1に記載のシステム(10)。
【請求項5】
前記医療機器(18)および前記通信機器(13)のうちの少なくとも1つを前記1つ以上の機能セット(77)で更新(81)し、更新(81)の成功に続いて、通知(80)を前記セキュアな配布サーバ(11)に送信するインストーラをさらに備える、請求項1に記載のシステム(10)。
【請求項6】
前記医療機器(18)のうちの少なくとも1つから前記通信機器(13)に生理学的評価指標(83)を定期的に収集し、定期的に受信されるアップロードリクエスト(82)に応えて、該収集された生理学的評価指標(83)を提供するコレクタをさらに備える、請求項1に記載のシステム(10)。
【請求項7】
少なくとも1つのさらなる医療機器(18)と、該少なくとも1つのさらなる医療機器(18)に一時的に接続可能な前記通信機器(13)との間でのデータアップロード(85)のために関連付けをマップする、さらなるマップ(40)をさらに備える、請求項1に記載のシステム(10)。
【請求項8】
複数の医療機器(18)と、該医療機器(18)のそれぞれに一時的に接続可能な前記通信機器(13)との間でのデータダウンロードのために一意の関連付けをマップする、さらなるマップ(40)をさらに備える、請求項1に記載のシステム(10)。
【請求項9】
前記1つ以上の機能セット(77)は、ファームウェアおよびソフトウェア更新(81)のうちの少なくとも1つを含むプログラムコードを備える、請求項1に記載のシステム(10)。
【請求項10】
前記医療機器(18)は、埋め込み型医療機器(18)および外付け型医療機器(20)のうちの少なくとも1つを備える、請求項1に記載のシステム(10)。
【請求項11】
前記医療機器(18)は、ペースメーカ、埋め込み型除細動器、心臓再同期機器、神経学的インプラント、心臓モニタ、呼吸モニタ、自動外付け型細動除去器、ホルターモニタ、ピルディスペンサ、重量計、および血圧モニタのうちの少なくとも1つを含む、請求項1に記載のシステム(10)。
【請求項12】
前記医療機器(18)は、患者通信機器(13)、リピータ、プログラマ、およびプログラマ/レコーダのうちの少なくとも1つを含む、請求項1に記載のシステム(10)。
【請求項13】
セキュアな機能セット(77)の配布インフラストラクチャを医療機器(18)管理に提供するための方法(230)であって、
医療機器(18)と、該医療機器(18)に一時的に接続可能な通信機器(13)との間でのデータダウンロードのための一意の関連付けをマップ(40)するステップと、
該医療機器(18)および該通信機器(13)のうちの少なくとも1つの動作特性(41〜48)を含む構成カタログ(76)を保持するステップと、
ダウンロード可能な機能セット(77)を格納するデータベース(75)に対して、該構成カタログ(76)内に保持された該動作特性(41〜48)を定期的にチェックし、変更された動作特性(41〜48)を含む1つ以上の機能セット(77)を配布のために識別するステップと、
該1つ以上の機能セット(77)をデジタル署名(103)し、該1つ以上の機能セット(77)を複数のネットワーク(12)を通じて該通信機器(13)に提供するステップと、
信頼できるソース(11)で始まり該通信機器(13)で終わる信頼チェーンを通じて、該1つ以上の機能セット(77)を認証(72)し、その完全性をチェックするステップと
を含む、方法(230)。
【請求項14】
前記信頼できるソース(11)は、セキュアな配布サーバ(11)である、請求項13に記載の方法(230)。
【請求項15】
前記1つ以上の機能セット(77)を、ダウンロードリクエストに応えて、前記通信機器(13)に送信するステップをさらに含む、請求項13に記載の方法(230)。
【請求項16】
前記1つ以上の機能セット(77)を、ダウンロードリクエストに応えて、前記通信機器(13)に送信するステップをさらに含む、請求項13に記載の方法(230)。
【請求項17】
前記1つ以上の機能セット(77)を、セキュアな配布サーバ(11)から前記通信機器(13)に、オンデマンドまたはインクリメンタルに送信するか、または一方的にブロードキャストするステップをさらに含む、請求項13に記載の方法(230)。
【請求項18】
前記医療機器(18)および前記通信機器(13)のうちの少なくとも1つを前記1つ以上の機能セット(77)で更新(81)するステップと、更新(81)の成功に続いて、通知(80)をセキュアな配布サーバ(11)から送信するステップとをさらに含む、請求項13に記載の方法(230)。
【請求項19】
前記医療機器(18)のうちの少なくとも1つから前記通信機器(13)に生理学的評価指標(83)を定期的に収集するステップと、定期的に受信されるアップロードリクエスト(82)に応えて、該収集された生理学的評価指標(83)を提供するステップとをさらに含む、請求項13に記載の方法(230)。
【請求項20】
少なくとも1つのさらなる医療機器(18)と、該少なくとも1つのさらなる医療機器(18)に一時的に接続可能な前記通信機器(13)との間でのデータアップロード(85)のために関連付けをマップする(40)ステップをさらに含む、請求項13に記載の方法(230)。
【請求項21】
複数の医療機器(18)と、該医療機器(18)のそれぞれに一時的に接続可能な前記通信機器(13)との間でのデータダウンロードのために一意の関連付けをマップする(40)ステップをさらに含む、請求項13に記載の方法(230)。
【請求項22】
前記1つ以上の機能セット(77)は、ファームウェアおよびソフトウェア更新(81)のうちの少なくとも1つを含むプログラムコードを備える、請求項13に記載の方法(230)。
【請求項23】
前記医療機器(18)は、埋め込み型医療機器(18)および外付け型医療機器(20)のうちの少なくとも1つを備える、請求項13に記載の方法(230)。
【請求項24】
前記医療機器(18)は、ペースメーカ、埋め込み型除細動器、心臓再同期機器、神経学的インプラント、心臓モニタ、呼吸モニタ、自動外付け型細動除去器、ホルターモニタ、ピルディスペンサ、重量計、および血圧モニタのうちの少なくとも1つを含む、請求項13に記載の方法(230)。
【請求項25】
前記医療機器(18)は、患者通信機器(13)、リピータ、プログラマ、およびプログラマ/レコーダのうちの少なくとも1つを含む、請求項13に記載の方法(230)。
【請求項26】
請求項13に記載の方法(230)を行うためのコードを保持するコンピュータ可読のストレージ媒体(14)。
【請求項27】
セキュアな機能セット(77)の配布インフラストラクチャを医療機器(18)管理に提供するための装置であって、
医療機器(18)と、該医療機器(18)に一時的に接続可能な通信機器(13)との間でのデータダウンロードのための一意の関連付けをマップ(40)するための手段と、
該医療機器(18)および該通信機器(13)のうちの少なくとも1つの動作特性(41〜48)を含む構成カタログ(76)を保持するための手段と、
ダウンロード可能な機能セット(77)を格納するデータベース(75)に対して、該構成カタログ(76)内に保持された該動作特性(41〜48)を定期的にチェックするための手段、および変更された動作特性(41〜48)を含む1つ以上の機能セット(77)を配布のために識別するための手段と、
該1つ以上の機能セット(77)をデジタル署名(103)するための手段、および該1つ以上の機能セット(77)を複数のネットワーク(12)を通じて該通信機器(13)に提供するための手段と、
信頼できるソース(11)で始まり該通信機器(13)で終わる信頼チェーンを通じて、該1つ以上の機能セット(77)を認証(72)するための手段、およびその完全性をチェックするための手段と
を備える、装置。
【請求項1】
セキュアな機能セット(77)の配布インフラストラクチャを医療機器(18)管理に提供するためのシステム(10)であって、
医療機器(18)と、該医療機器(18)に一時的に接続可能な通信機器(13)との間でのデータダウンロードのための一意の関連付けマップ(40)と、
該医療機器(18)および該通信機器(13)のうちの少なくとも1つの動作特性(41〜48)を含む構成カタログ(76)と、
ダウンロード可能な機能セット(77)を格納するデータベース(75)に対して、該構成カタログ(76)内に保持された該動作特性(41〜48)を定期的にチェックし、変更された動作特性(41〜48)を含む1つ以上の機能セット(77)を配布のために識別する更新チェッカ(71)であって、該1つ以上の機能セット(77)は、デジタル署名(103)され、該1つ以上の機能セット(77)は、複数のネットワーク(12)を通じて該通信機器(13)に提供される、更新チェッカ(71)と、
信頼できるソース(11)で始まり該通信機器(13)で終わる信頼チェーンを通じて、該1つ以上の機能セット(77)を認証し、その完全性をチェックするオーセンティケータ(72)と
を備える、システム(10)。
【請求項2】
前記信頼できるソース(11)は、セキュアな配布サーバ(11)である、請求項1に記載のシステム(10)。
【請求項3】
前記1つ以上の機能セット(77)は、ダウンロードリクエストに応えて、前記通信機器(13)に送信される、請求項1に記載のシステム(10)。
【請求項4】
前記1つ以上の機能セット(77)は、セキュアな配布サーバ(11)から前記通信機器(13)に、オンデマンドまたはインクリメンタルに送信されるか、または一方的にブロードキャストされる、請求項1に記載のシステム(10)。
【請求項5】
前記医療機器(18)および前記通信機器(13)のうちの少なくとも1つを前記1つ以上の機能セット(77)で更新(81)し、更新(81)の成功に続いて、通知(80)を前記セキュアな配布サーバ(11)に送信するインストーラをさらに備える、請求項1に記載のシステム(10)。
【請求項6】
前記医療機器(18)のうちの少なくとも1つから前記通信機器(13)に生理学的評価指標(83)を定期的に収集し、定期的に受信されるアップロードリクエスト(82)に応えて、該収集された生理学的評価指標(83)を提供するコレクタをさらに備える、請求項1に記載のシステム(10)。
【請求項7】
少なくとも1つのさらなる医療機器(18)と、該少なくとも1つのさらなる医療機器(18)に一時的に接続可能な前記通信機器(13)との間でのデータアップロード(85)のために関連付けをマップする、さらなるマップ(40)をさらに備える、請求項1に記載のシステム(10)。
【請求項8】
複数の医療機器(18)と、該医療機器(18)のそれぞれに一時的に接続可能な前記通信機器(13)との間でのデータダウンロードのために一意の関連付けをマップする、さらなるマップ(40)をさらに備える、請求項1に記載のシステム(10)。
【請求項9】
前記1つ以上の機能セット(77)は、ファームウェアおよびソフトウェア更新(81)のうちの少なくとも1つを含むプログラムコードを備える、請求項1に記載のシステム(10)。
【請求項10】
前記医療機器(18)は、埋め込み型医療機器(18)および外付け型医療機器(20)のうちの少なくとも1つを備える、請求項1に記載のシステム(10)。
【請求項11】
前記医療機器(18)は、ペースメーカ、埋め込み型除細動器、心臓再同期機器、神経学的インプラント、心臓モニタ、呼吸モニタ、自動外付け型細動除去器、ホルターモニタ、ピルディスペンサ、重量計、および血圧モニタのうちの少なくとも1つを含む、請求項1に記載のシステム(10)。
【請求項12】
前記医療機器(18)は、患者通信機器(13)、リピータ、プログラマ、およびプログラマ/レコーダのうちの少なくとも1つを含む、請求項1に記載のシステム(10)。
【請求項13】
セキュアな機能セット(77)の配布インフラストラクチャを医療機器(18)管理に提供するための方法(230)であって、
医療機器(18)と、該医療機器(18)に一時的に接続可能な通信機器(13)との間でのデータダウンロードのための一意の関連付けをマップ(40)するステップと、
該医療機器(18)および該通信機器(13)のうちの少なくとも1つの動作特性(41〜48)を含む構成カタログ(76)を保持するステップと、
ダウンロード可能な機能セット(77)を格納するデータベース(75)に対して、該構成カタログ(76)内に保持された該動作特性(41〜48)を定期的にチェックし、変更された動作特性(41〜48)を含む1つ以上の機能セット(77)を配布のために識別するステップと、
該1つ以上の機能セット(77)をデジタル署名(103)し、該1つ以上の機能セット(77)を複数のネットワーク(12)を通じて該通信機器(13)に提供するステップと、
信頼できるソース(11)で始まり該通信機器(13)で終わる信頼チェーンを通じて、該1つ以上の機能セット(77)を認証(72)し、その完全性をチェックするステップと
を含む、方法(230)。
【請求項14】
前記信頼できるソース(11)は、セキュアな配布サーバ(11)である、請求項13に記載の方法(230)。
【請求項15】
前記1つ以上の機能セット(77)を、ダウンロードリクエストに応えて、前記通信機器(13)に送信するステップをさらに含む、請求項13に記載の方法(230)。
【請求項16】
前記1つ以上の機能セット(77)を、ダウンロードリクエストに応えて、前記通信機器(13)に送信するステップをさらに含む、請求項13に記載の方法(230)。
【請求項17】
前記1つ以上の機能セット(77)を、セキュアな配布サーバ(11)から前記通信機器(13)に、オンデマンドまたはインクリメンタルに送信するか、または一方的にブロードキャストするステップをさらに含む、請求項13に記載の方法(230)。
【請求項18】
前記医療機器(18)および前記通信機器(13)のうちの少なくとも1つを前記1つ以上の機能セット(77)で更新(81)するステップと、更新(81)の成功に続いて、通知(80)をセキュアな配布サーバ(11)から送信するステップとをさらに含む、請求項13に記載の方法(230)。
【請求項19】
前記医療機器(18)のうちの少なくとも1つから前記通信機器(13)に生理学的評価指標(83)を定期的に収集するステップと、定期的に受信されるアップロードリクエスト(82)に応えて、該収集された生理学的評価指標(83)を提供するステップとをさらに含む、請求項13に記載の方法(230)。
【請求項20】
少なくとも1つのさらなる医療機器(18)と、該少なくとも1つのさらなる医療機器(18)に一時的に接続可能な前記通信機器(13)との間でのデータアップロード(85)のために関連付けをマップする(40)ステップをさらに含む、請求項13に記載の方法(230)。
【請求項21】
複数の医療機器(18)と、該医療機器(18)のそれぞれに一時的に接続可能な前記通信機器(13)との間でのデータダウンロードのために一意の関連付けをマップする(40)ステップをさらに含む、請求項13に記載の方法(230)。
【請求項22】
前記1つ以上の機能セット(77)は、ファームウェアおよびソフトウェア更新(81)のうちの少なくとも1つを含むプログラムコードを備える、請求項13に記載の方法(230)。
【請求項23】
前記医療機器(18)は、埋め込み型医療機器(18)および外付け型医療機器(20)のうちの少なくとも1つを備える、請求項13に記載の方法(230)。
【請求項24】
前記医療機器(18)は、ペースメーカ、埋め込み型除細動器、心臓再同期機器、神経学的インプラント、心臓モニタ、呼吸モニタ、自動外付け型細動除去器、ホルターモニタ、ピルディスペンサ、重量計、および血圧モニタのうちの少なくとも1つを含む、請求項13に記載の方法(230)。
【請求項25】
前記医療機器(18)は、患者通信機器(13)、リピータ、プログラマ、およびプログラマ/レコーダのうちの少なくとも1つを含む、請求項13に記載の方法(230)。
【請求項26】
請求項13に記載の方法(230)を行うためのコードを保持するコンピュータ可読のストレージ媒体(14)。
【請求項27】
セキュアな機能セット(77)の配布インフラストラクチャを医療機器(18)管理に提供するための装置であって、
医療機器(18)と、該医療機器(18)に一時的に接続可能な通信機器(13)との間でのデータダウンロードのための一意の関連付けをマップ(40)するための手段と、
該医療機器(18)および該通信機器(13)のうちの少なくとも1つの動作特性(41〜48)を含む構成カタログ(76)を保持するための手段と、
ダウンロード可能な機能セット(77)を格納するデータベース(75)に対して、該構成カタログ(76)内に保持された該動作特性(41〜48)を定期的にチェックするための手段、および変更された動作特性(41〜48)を含む1つ以上の機能セット(77)を配布のために識別するための手段と、
該1つ以上の機能セット(77)をデジタル署名(103)するための手段、および該1つ以上の機能セット(77)を複数のネットワーク(12)を通じて該通信機器(13)に提供するための手段と、
信頼できるソース(11)で始まり該通信機器(13)で終わる信頼チェーンを通じて、該1つ以上の機能セット(77)を認証(72)するための手段、およびその完全性をチェックするための手段と
を備える、装置。
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6】
【図7】
【図8】
【図9】
【図10−1】
【図10−2】
【図11】
【図12−1】
【図12−2】
【図13】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6】
【図7】
【図8】
【図9】
【図10−1】
【図10−2】
【図11】
【図12−1】
【図12−2】
【図13】
【公表番号】特表2009−519107(P2009−519107A)
【公表日】平成21年5月14日(2009.5.14)
【国際特許分類】
【出願番号】特願2008−545758(P2008−545758)
【出願日】平成18年12月11日(2006.12.11)
【国際出願番号】PCT/US2006/047493
【国際公開番号】WO2007/070552
【国際公開日】平成19年6月21日(2007.6.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(505003528)カーディアック ペースメイカーズ, インコーポレイテッド (466)
【Fターム(参考)】
【公表日】平成21年5月14日(2009.5.14)
【国際特許分類】
【出願日】平成18年12月11日(2006.12.11)
【国際出願番号】PCT/US2006/047493
【国際公開番号】WO2007/070552
【国際公開日】平成19年6月21日(2007.6.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(505003528)カーディアック ペースメイカーズ, インコーポレイテッド (466)
【Fターム(参考)】
[ Back to top ]